Pratique d'analyse des ports d'entreprise Linux

[Introduction] Comme le dit le proverbe : Un talus de mille kilomètres est détruit par un nid de fourmis. Lorsqu’une petite vulnérabilité est découverte par un attaquant, la conséquence finale peut être la paralysie de l’ensemble du réseau. Et comment découvrir les failles de sécurité dans les réseaux d’entreprise ? Quelles technologies clés faut-il maîtriser et adopter ? Existe-t-il un outil populaire et efficace qui peut

Comme le dit le proverbe : "Un talus de mille kilomètres est détruit par un nid de fourmis. Une fois qu'une petite vulnérabilité est découverte par un attaquant, les conséquences finales peuvent être de." tout le réseau de paralysie. Et comment découvrir les failles de sécurité dans les réseaux d’entreprise ? Quelles technologies clés faut-il maîtriser et adopter ? Existe-t-il des outils populaires et efficaces qui peuvent être utilisés pour aider les administrateurs système à analyser et découvrir les vulnérabilités ?

Stratégie d'analyse des ports d'entreprise

1.Le but de l'analyse des ports

Pour ceux localisés. dans le réseau Pour un système informatique, un port est un canal de communication potentiel, c'est-à-dire un canal d'intrusion. L'analyse des ports sur l'ordinateur cible peut obtenir de nombreuses informations utiles pour découvrir les vulnérabilités de sécurité du système. Grâce à lui, les utilisateurs du système peuvent comprendre quels services le système fournit actuellement au monde extérieur, fournissant ainsi une méthode de référence permettant aux utilisateurs du système de gérer le réseau.

En termes de principes techniques, l'analyse des ports envoie des paquets de détection au port de service TCP/UDP de l'hôte cible et enregistre la réponse de l'hôte cible. En analysant la réponse pour déterminer si le port de service est ouvert ou fermé, vous pouvez connaître les services ou les informations fournis par le port. L'analyse des ports peut également surveiller le fonctionnement de l'hôte local en capturant les paquets IP entrants et sortants de l'hôte ou du serveur local. Elle peut non seulement analyser les données reçues, mais également aider les utilisateurs à découvrir certaines faiblesses inhérentes de l'hôte cible sans étapes détaillées. pour entrer dans un système sera fourni. De manière générale, l'objectif de l'analyse des ports est généralement un ou plusieurs des éléments suivants :

1. Découvrir les ports ouverts : découvrir les ports TCP ou UDP ouverts sur le système cible

2. Informations sur le système d'exploitation : l'analyse des ports peut utiliser « l'empreinte digitale » du système d'exploitation pour déduire des informations telles que la version du système d'exploitation ou de l'application analysée

3. Comprendre la version du logiciel ou du service : Le logiciel ou le service ; la version peut être " " Acquisition de drapeau " ou empreinte digitale d'application à identifier et à obtenir ;

4. Découvrez les versions de logiciels vulnérables : identifiez les failles des logiciels et des services, aidant ainsi à lancer des attaques contre les vulnérabilités.

Le scan des ports comprend principalement les scanners classiques (connexion complète) et les scanners dits SYN (semi-connexion). Il existe également des analyses indirectes et des analyses secrètes. La méthode d'analyse TCP établit une connexion TCP standard avec l'hôte analysé. Par conséquent, cette méthode est la plus précise et manque rarement ou produit des faux positifs, mais elle est facilement détectée et enregistrée par l'hôte cible. La méthode SYN établit une connexion semi-ouverte avec l'hôte cible, de sorte qu'elle ne soit pas facilement enregistrée par l'hôte cible, mais les résultats de l'analyse provoqueront des faux négatifs. Ce faux négatif est grave lorsque l'état du réseau n'est pas bon.

2. Installez rapidement nmap pour l'analyse des ports d'entreprise

nmap est un scanner de détection et de sécurité réseau qui peut être utilisé par les administrateurs système et les particuliers. Ce logiciel analyse les grands réseaux pour obtenir des informations telles que les hôtes en cours d'exécution et les services fournis. nmap prend en charge de nombreuses technologies d'analyse, telles que : UDP, TCP connect(), TCP SYN (analyse semi-ouverte), proxy ftp (attaque par rebond), indicateur inversé, ICMP, FIN, analyse ACK, Xmas Tree (arbre de Noël), SYN analyse et analyse nulle. nmap fournit également des fonctionnalités avancées, telles que : la détection du type de système d'exploitation via les caractéristiques de la pile de protocole TCP/IP, l'analyse secrète, le calcul dynamique du délai et de la retransmission, l'analyse parallèle, la détection des hôtes en panne via l'analyse ping parallèle, l'analyse leurre, l'évitement du port ouvert. détection par filtrage, analyse RPC directe (aucun mappage de port requis), analyse de fragments et paramètres de cible et de port flexibles.

Afin d'améliorer les performances de nmap dans l'état non root, les concepteurs du logiciel ont déployé beaucoup d'efforts. Malheureusement, certaines interfaces du noyau (telles que les sockets brutes) doivent être utilisées à l'état racine. Nmap doit donc être utilisé à la racine autant que possible.

L'exécution de nmap obtiendra généralement une liste des ports hôtes analysés. nmap donnera toujours le nom de service du port bien connu (si possible), le numéro de port, l'état et les informations de protocole. L'état de chaque port est : ouvert, filtré, non filtré.

• L'état ouvert signifie que l'hôte cible peut accepter la connexion en utilisant l'appel système accept() sur ce port

• L'état filtré ; signifie que le pare-feu, le filtrage de paquets et d'autres logiciels de sécurité réseau masquent ce port, empêchant nmap de détecter s'il est ouvert.

• non filtré signifie que le port est fermé et qu'il n'y a pas de logiciel de pare-feu/filtrage de paquets pour isoler les tentatives de détection nmap. Normalement, l'état d'un port est fondamentalement non filtré. Ce n'est que lorsque la plupart des ports analysés sont à l'état filtré que le port à l'état non filtré sera affiché.

En fonction des options de fonctionnalités utilisées, nmap peut également signaler les caractéristiques suivantes de l'hôte distant : système d'exploitation utilisé, séquence TCP, nom d'utilisateur exécutant l'application lié à chaque port, nom DNS, si l'adresse de l'hôte est une adresse usurpée, et d'autres choses.

Avant de l'utiliser, nous devons télécharger le package de code source du logiciel et l'installer.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!